พบ 4 ช่องโหว่ Zero-days IBM Data Risk Manager เสี่ยงถูกแฮก

27 เมษายน 2020

IT 360º ไอที ง่ายๆ รอบๆ ตัว

NT cyfence
NT cyfenceทีมงาน NT cyfence ที่พร้อมให้คำปรึกษา และ ดูแลความปลอดภัยให้กับทุกองค์กร อย่างครบวงจร ด้วยทีมงานมืออาชีพ

ผู้วิเคราะห์ระบบรักษาความปลอดภัยทางไซเบอร์ Agile Information Security ได้เปิดเผย 4 Zero-days ที่ค้นพบใน IBM Data Risk Manager (IDRM) ซึ่งเป็นช่องโหว่ในโปรแกรมสำหรับการวิเคราะห์ความเสี่ยงในธุรกิจ โดย 4 Zero-days ที่พบนี้คือช่องโหว่ด้าน authentication bypass, command injection, insecure default password, และ arbitrary file download นักวิเคราะห์ยังให้ข้อมูลอีกว่า หากใช้จุดอ่อนเหล่านี้รวมกัน แฮกเกอร์จะสามารถ remotely execute code ด้วยสิทธิ์ root บนระบบและสามารถขโมยไฟล์สำคัญที่จะทำให้ แก้ไขระบบได้ และให้ความเห็นเพิ่มเติมว่า IDRM นั้นเป็น security product ที่เก็บข้อมูลที่สำคัญไว้หลายอย่าง ดังนั้น การ Hack IDRM อาจทำให้สามารถควบคุมทั้งองค์กรได้เลย เพราะ IDRM จะเก็บ Credentials ที่สามารถนำไปเข้าระบบอื่น ๆ และยังเก็บข้อมูล Vulnerabilities ของบริษัท ซึ่งแฮกเกอร์สามารถนำไปใช้ประโยชน์ได้

โดย Agile Information Security ได้แจ้งช่องโหว่นี้ให้ IBM รับทราบเป็นการส่วนตัวแล้ว แต่ทาง IBM ยังไม่ดำเนินการและปฏิเสธที่จะแก้ไขตาม Vulnerability Report ที่ส่งไป และยังให้ความเห็นต่อ Vulnerability Report ว่าอยู่นอก scope เนื่องจากผลิตภัณฑ์นี้เป็นตัวเสริมสำหรับลูกค้าที่จ่ายเงินเท่านั้น และ IBM จะไม่เปิดเผย Vulnerabilities สู่สาธารณะ นอกจากนี้ IBM ยังแจ้งนโยบายการเปิดเผย vulnerabilities ว่าเป็นไปตามที่ระบุใน https://hackerone.com/ibm ซึ่งระบุว่าการทดสอบนั้น ผู้ทดสอบจะต้องไม่อยู่ภายใต้สัญญาใด ๆ อย่างน้อย 6 เดือนก่อนที่จะทำ security testing ให้ IBM และบริษัทในเครือ รวมถึงลูกค้าของ IBM ด้วยเหตุผลการตอบกลับนี้ จึงทำให้ Agile Information Security จำเป็นต้องออกมาแจ้งเตือนสู่สาธารณะ เพื่อให้ผู้ใช้งานทั่วไประมัดระวัง พร้อมทั้งตั้งคำถามหลายข้อ เช่น

  • ทำไม IBM ถึงปฏิเสธ Vulnerability Report ที่ทำให้ฟรี ?
  • คำตอบของ IBM แปลว่าลูกค้าของ IBM เท่านั้นที่รายงาน Vulnerabilities ได้ ?
  • IBM ไม่ support ผลิตภัณฑ์นี้แล้ว ถ้าอย่างนั้นทำไมถึงจำหน่ายอยู่ ?
  • ทำไม IBM ถึงไร้ความรับผิดชอบทั้ง ๆ ที่จำหน่ายผลิตภัณฑ์สำหรับความปลอดภัยในองค์กร ?

Bleeping Computer ผู้นำเสนอข่าวนี้ได้ติดต่อไปยัง IBM ถึงสาเหตุที่ปฏิเสธและไม่ยอมแก้ไข Vulnerabilities ที่นักวิเคราะห์ฯ พบซึ่ง IBM แจ้งว่าเป็นข้อผิดพลาดที่ Process ทำให้เกิดการตอบกลับที่ผิดพลาด โดยความเป็นจริงขณะนี้ IBM ได้มีการ mitigate Vulnerabilities เหล่านั้นอยู่และได้ออกแพทซ์แก้ไขเวอร์ชัน 2.0.4 เพื่อแก้ไขไปแล้ว 2 ช่องโหว่ ได้แก่ ช่องโหว่ของ command injection และ arbitrary file download และแนะนำให้ผู้ใช้งานอัปเดตเวอร์ชันโดยด่วน แต่สำหรับ insecure default password นั้น IBM แจ้งว่าเป็นเรื่องปกติและแนะนำให้ผู้ใช้งานควร reset หลังจากเปิดใช้งาน ส่วน authentication bypass นั้น IBM อยู่ระหว่างตรวจสอบจะแจ้งความคืบหน้าให้เร็วที่สุด

ที่มา:

https://www.bleepingcomputer.com/news/security/researcher-discloses-four-ibm-zero-days-after-refusal-to-fix/

ภาพจาก :

Carson Masterson

Share

ปรึกษาเรา

บทความที่เกี่ยวข้อง